Tehdit aktörleri, özellikle ticaret ve aracılık firmalarına, özellikle de ticaret ve aracılık firmalarına sızmak için saygıdeğer GH0ST sıçan kod tabanından türetilen Godrat olarak adlandırılan yeni bir uzaktan erişim Trojan (sıçan) olarak görev yapıyorlar.
Kötü amaçlı yazılım, Skype aracılığıyla, müşteri listeleri veya işlem verileri gibi meşru finansal belgeler olarak maskelenen .scr (ekran koruyucu) ve .pif (program bilgi dosyası) yürütülebilir ürünler olarak dağıtılır.
Bu taktik, görünüşte zararsız dosya türlerinde kullanıcı güvenini kullanır ve başlangıç erişimi sağlar.
GH0ST sıçanının evrimi
Godrat, 2023 yılında bildirilen, kod benzerlikleri ve dağıtım yöntemlerini paylaşan harika peppet arka kapısının bir evrimini temsil ediyor ve muhtemelen Winnti APT grubuna bağlı.
Saldırganlar, görüntü dosyaları içinde kabuk kodunu gizlemek için steganografi kullanırlar, bu da sıçanı bir komut ve kontrol (C2) sunucusundan indirir.
Bir kez konuşlandırıldıktan sonra, Godrat eklenti tabanlı uzantıları kolaylaştırır, FilEmanager eklentisi kurban sistemlerini keşif yapmak ve kalıcı erişim için tarayıcı şifresi çalanlar ve asyncrat gibi ikincil yükler dağıtır.
Kampanya, 12 Ağustos 2025 itibariyle aktif olmaya devam ediyor ve Hong Kong, Birleşik Arap Emirlikleri, Lübnan, Malezya ve Ürdün’ü kapsayan tespitler, Orta Doğu ve Asya finans kuruluşlarına hedeflenen bir odaklanıyor.
Godrat’ın teknik uygulaması, kötü amaçlı kodları meşru süreçlere enjekte eden Shellcode yükleyicileriyle başlayarak karmaşıktır.
Bir yükleyici varyant xor-decodes gömülü kabuk kodları “odbiu#iusbdgkjs@sihudvnso*skjbksds#sfdbnxfcb” gibi sert kodlanmış bir anahtar kullanılarak ve yeni bir bellek bölümünde yürütür.
Finans sektörünü hedefler
Bir başka kendi kendine ekleyen yürütülebilir, finansal detayları tasvir eden JPG görüntülerinden kabuk kodunu çıkaran, bir sayısal sertifika ile enjekte eden JPG görüntülerinden kabuk kodunu çıkaran imzalı bir SDL2.dll yükleyici (MD5: 512778F0DE31FCCE281D87F00AFFA4A8) dahil olmak üzere dosyaları gömür.
Kaspersky raporuna göre, Shellcode “GodInfo” dizeleri arar, C2 konfigürasyonlarını XOR tuşu 0x63 ile kodlar ve UPX dolu Godrat DLL (dahili adı: çevrimiçi.dll) içeren ikinci aşamalı bir yük getirir.
Bu DLL, “-puppet” parametresini A-NodyPuppet mirasına kullanarak curl.exe veya cmd.exe gibi işlemlere enjekte eden komut satırı bağımsız değişkenlerini kontrol eden bir “çalışma” işlevini dışa aktarır.
Godrat, işletim sistemi ayrıntıları, ana bilgisayar adı, PID, kullanıcı hesapları ve AV varlığı dahil olmak üzere Sistem Intel’i toplar, C2 şanzımanından önce ZLIB ve üçlü xor kodlama ile veri sıkıştırır.
Desteklenen komutlar arasında eklenti enjeksiyonu (örneğin, sürücü numaralandırması için filemanager, dosya işlemleri ve 7-ZIP yürütme), varsayılan masaüstlerinde işlem oluşturma ve Internet Explorer üzerinden URL açıklıkları bulunur.
İkincil implantlar tehdidi güçlendirir: Chrome ve MS Edge Password Stealers (MD5S: 31385291C01BB25D635D098F91708905 ve CDD5C08B43238C47087A5D914D61C91C943) SQLite Databases ve Tasarruf Tasarruflarından Tasarladı.
Asyncrat enjektörleri (örn., MD5: 605F25606BB925D61CCC47F0150DB674) AMSI ve ETW fonksiyonlarını kaçırma işlemleri yaptıktan sonra kod çözün ve enjekte edin.
Kaynak kodu analizi, Godrat’ın GH0ST sıçanından doğrudan inişini ortaya çıkarır ve inşaatçılar SVCHOST.EXE gibi yürütülebilir ürünlere veya .scr/.pif gibi dosya türlerine izin verir.
AwesomePuppet’ten farklılıklar arasında, “yön” alanına sahip gelişmiş C2 paket işleme, eski kötü amaçlı yazılımlarda yinelemeli iyileştirmelerin altını çizmektedir.
Yaklaşık yirmi yıllık GH0ST türevi aletlerin bu kalıcılığı, özelleştirilebilir implantların APT operasyonları için kalıcı cazibesinin altını çiziyor, kuruluşları anormal Skype teslimatlarını, olağandışı süreç enjeksiyonlarını ve C2 iletişimini izlemeye çağırıyor.
Uzlaşma göstergeleri
| Tip | Gösterge | Tanım |
|---|---|---|
| MD5 karma | D09fd37d8566b9d7a5880649a0192b4 | Godrat Shellcode Enjektör |
| MD5 karma | 512778f0de31fcce281d87f00affa4a8 | Godrat Shellcode Loader DLL |
| MD5 karma | 8008375eec7550d6d8eeaf24389cf81 | Godrat vb. |
| MD5 karma | 31385291c01bb25d635d098f91708905 | Chrome Parola Stealer |
| MD5 karma | 605f25606bb925d61ccc47f0150db674 | Asycrat enjektör |
| IP adresi | 103.237.92.191 | Godrat C2 Sunucusu |
| İhtisas | wuwu6.cfd | Asyncrat C2 alanı |
| Dosya Yolu | %Allusersprofile%\ google \ chrome.exe | Chrome Stealer yerleşimi |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!